Un nuevo malware para macOS basado en Rust que se propaga como una actualización de Visual Studio para proporcionar acceso de puertas traseras a sistemas comprometidos que usan una infraestructura vinculada a la infame banda de ransomware ALPHV/BlackCat.
La campaña que entrega la puerta trasera comenzó al menos desde noviembre de 2023 y aún está en marcha distribuyendo variantes más nuevas del malware.
Escrito en Rust, el malware puede ejecutarse en arquitecturas basadas en Intel (x86_64) y ARM (Apple Silicon), dicen investigadores de la empresa de ciberseguridad Bitdefender que lo están rastreando como RustDoor.
Posible Vínculo con Operaciones de Ransomware
Mientras analizaban RustDoor, los investigadores de malware de Bitdefender descubrieron que el malware se comunicaba con cuatro servidores de comando y control (C2).
Al analizar los datos de inteligencia de amenazas, los analistas descubrieron que tres de ellos se habían utilizado en ataques potencialmente vinculados a ataques de ransomware de una filial de ALPHV/BlackCat.
Sin embargo, los investigadores destacan que esta es una evidencia insuficiente para vincular con seguridad el uso de RustDoor con un actor de amenaza en particular y que “los artefactos y los IoC (indicadores de compromiso) sugieren una posible relación con los operadores de ransomware BlackBasta y ALPHV/BlackCat”.
Dado que los ciberdelincuentes tienen menos libertad para elegir su infraestructura y están restringidos a servicios de alojamiento que brindan anonimato y toleran actividades ilegales, es común que múltiples actores de amenazas utilicen los mismos servidores para ataques.
Si bien existen cifrados para el sistema macOS, compilaciones para Apple M1 de LockBit creadas antes de diciembre de 2022, no hay informes públicos en este momento de que ransomware ataque el sistema operativo de Apple.
La mayoría de las operaciones se dirigen a sistemas Windows y Linux, ya que los entornos empresariales utilizan servidores que ejecutan estos sistemas operativos.
Detalles de Distribución
RustDoor se distribuye principalmente como una actualización de Visual Studio para Mac, el entorno de desarrollo integrado (IDE) de Microsoft para la plataforma macOS, que dejará de estar disponible este año el 31 de agosto.
La puerta trasera de macOS se entrega con varios nombres, incluidos ‘zshrc2‘, ‘Previewers‘, ‘VisualStudioUpdater‘, ‘VisualStudioUpdater_Patch‘, ‘VisualStudioUpdating‘, ‘visualstudioupdate‘ y ‘DO_NOT_RUN_ChromeUpdates‘.
Según Bitdefender, el malware ha estado bajo distribución activa y no ha sido detectado durante al menos tres meses.
Los investigadores descubrieron tres versiones del malware, que vienen como archivos binarios FAT que incluyen archivos Mach-O para arquitecturas Intel x86_64 y ARM, pero que no vienen incluidos en los archivos principales típicos, como paquetes de aplicaciones o imágenes de disco.
Bitdefender afirma que este método de distribución atípico reduce la huella digital de la campaña y la probabilidad de que los productos de seguridad marquen la puerta trasera como sospechosa.
Capacidades de Puerta Trasera
En un informe de esta semana, los investigadores dicen que RustDoor tiene comandos para controlar el sistema comprometido y filtrar datos, y puede persistir en el dispositivo modificando los archivos del sistema.
Después de infectar un sistema, el malware se comunica con servidores de comando y control (C2) utilizando puntos finales específicos para el registro, la ejecución de tareas y la filtración de datos.
Los comandos admitidos por el malware incluyen los siguientes:
- ps: enumera los procesos en ejecución, útil para monitorear la actividad del sistema.
- shell: ejecuta comandos de shell arbitrarios, dando a los atacantes control directo.
- cd: Cambia el directorio actual, permitiendo la navegación a través del sistema de archivos.
- mkdir: Crea un nuevo directorio, útil para organizar datos robados o componentes de malware.
- rm: elimina archivos, potencialmente para eliminar archivos importantes o limpiar rastros de malware.
- rmdir: elimina directorios, similar a rm pero para directorios.
- sleep: pausa la ejecución durante un tiempo determinado, posiblemente para evadir la detección o sincronizar acciones.
- upload: envía archivos a un servidor remoto, utilizado para extraer datos robados.
- botkill: finaliza otros procesos de malware, posiblemente para eliminar la competencia o liberar recursos del sistema.
- dialog: muestra mensajes o indicaciones al usuario, potencialmente para phishing o para ejecutar comandos con privilegios de usuario.
- taskkill: finaliza procesos específicos, útil para detener el software de seguridad u otros procesos que interfieren con el malware.
- download: recupera archivos de un servidor remoto, que se utiliza para incorporar componentes de malware adicionales o actualizaciones al sistema infectado.
La puerta trasera utiliza trabajos Cron y LaunchAgents para programar su ejecución en momentos específicos o cuando el usuario inicia sesión, asegurándose así de que sobreviva a los reinicios del sistema.
Además, modifica el archivo ~/.zshrc para ejecutarlo en nuevas sesiones de terminal o agregarlo al Dock con comandos del sistema, lo que lo ayuda a integrarse con aplicaciones legítimas y actividades del usuario.
Bitdefender señala que existen al menos tres variantes de RustDoor, la primera vista desde principios de octubre de 2023.
El siguiente se vio el 22 de noviembre y parecía ser una versión de prueba que precedió a una versión actualizada observada el 30 de noviembre, que incluye “una configuración JSON compleja, así como un script de Apple integrado utilizado para la exfiltración” de archivos con extensiones específicas.
Los investigadores proporcionan una lista de indicadores conocidos de compromiso para RustDoor, que incluye binarios, dominios de descarga y URL para los cuatro servidores de comando y control descubiertos.